Entwicklung & Design

Ratgeber: Haftung bei Cloud Computing und SaaS

Laut Schätzungen des Branchenverbands Bitkom soll das Geschäft rund um Cloud Computing und SaaS bis 2015 auf 13 Milliarden Euro zulegen. Aber während Cloud Computing für den Softwareanbieter einerseits viele wirtschaftliche Vorteile bietet, nehmen andererseits auch die haftungsrechtlichen Herausforderungen zu. Das Problem: Die Schadensrisiken der Softwareanbieter beschränken sich nicht mehr nur auf Programmierfehler oder fehlerhafte Backups – sondern umfassen auch Rechtsverletzungen sowie die Haftung bei Datenverlust und für die Sicherheit in der Cloud.

Softwareanbieter in der Haftung: Risiko Datenhaltung und Datenverlust

Gigantische Speicherkapazitäten, schier unbegrenzte Rechenleistung – und dazu auch noch die passende Umgebung: Es geht in der Wolke nicht mehr nur um das „nackte“ Speichern von Daten. Durch Software-as-a-Service-Lösungen werden vom Softwareanbieter auch infrastrukturelle Tätigkeiten übernommen.

Die Datenhaltung spielt sowohl für den Betreiber outgesourcter Backup-Lösungen (PaaS) als auch für den Anbieter outgesourcter Office- oder CRM-Lösungen (SaaS) eine große Rolle.

Das Problem: Im Fall von Datenverlust können hohe Vermögensschäden beim Kunden entstehen – durch Gewinnausfall und Umsatzeinbußen oder durch die mühsame Wiederherstellung der Daten. Am Ende kann der Softwareanbieter dafür haftbar gemacht werden – inklusive aller Schadenersatzforderungen.

Tipp: Die Eintrittsmöglichkeit eines solchen Szenarios sollte auch in den vertraglichen Vereinbarungen und Regelungen zur geschuldeten Leistung, den Verantwortlichkeiten und letztendlich auch der Haftung berücksichtigt werden.

Service-Level-Agreements genau prüfen

(Foto: s_w_ellis / flickr.com, Lizenz: CC-BY)

Das Konzept Cloud Computing ist komplex – auch deshalb, weil SaaS-Lösungen über verschiedene „Modelle“ angeboten werden können. So greifen viele Anbieter von SaaS-Lösungen auf die Serverkapazitäten externer Provider (Drittprovider) zurück. Dadurch entstehen Providerketten. Die Folge: Die Hardware unterliegt dann nicht mehr dem direkten Einfluss des eigentlichen Softwareanbieters.

In diesem Fall kommt den Service-Level-Agreements (SLA-Verträgen) mit dem Betreiber dieser Server (Drittprovider) eine zentrale Bedeutung zu: Sie sollten sehr genau geprüft werden.

Zudem besteht haftungstechnisch unter Umständen ein Drittverschulden, da Fehler nicht nur auf Seiten des Cloud-Computing oder SaaS-Anbieters, sondern auch auf Seiten des Hosters passieren können (z.B. Server- oder Festplattenausfall).

Versicherungstechnisch agiert der Hoster als Subunternehmer des Softwareanbieters. Auch hieraus können sich besondere Anforderungen an Haftung und Versicherungsschutz ergeben: Hat es der Softwareanbieter beispielsweise versäumt mit dem Kunden vertraglich zu vereinbaren, dass seine Daten an Dritte (Cloud Provider) übermittelt werden dürfen, kann schnell eine Datenschutzrechtsverletzung entstehen – für die er verantwortlich gemacht werden kann.

Deutsche Allgemeine Geschäftsbedingungen (AGB) verhindern Risikoverteilung

Probleme machen den Cloud Service Anbietern auch Regelungen in den Allgemeinen Geschäftsbedingungen: Rechtsexperte Dr. Carsten Schulz kommt in dem von ihm geschriebenen Beitrag zum „Einfluss des deutschen Rechts auf Cloudverträge“ zu dem Schluss: „In Deutschland stellen sich für Cloud Services hinsichtlich der vertraglichen Regelungen der Risiken spezielle Problematiken, da hier die Formulierungsfreiheit der AGB der Vertragsparteien von Gesetzesseite bereits erheblich eingeschränkt sind.“

Die entscheidende Hürde für den Provider dabei sei, „dass die deutschen Gesetze zur Gestaltung der AGB eine freie Risikoverteilung zwischen den Vertragsparteien nicht zulassen und darüber hinaus bestimmte Haftungsbeschränkungen der Provider (wie sie häufig in anderen Ländern angewandt werden) unterbinden.“

Der Versuch, Risiken mittels AGB unter den Parteien zu verteilen, könnte deshalb dazu führen, dass der Provider gezwungen werde, die unbegrenzte Haftung zu übernehmen, falls die Allgemeinen Geschäftsbedingungen nicht die strengen Richtlinien der geltenden Gesetzgebung erfüllten.

Auf der nächsten Seite geht es weiter mit:

  • Rechtsprobleme, wenn Daten auf Servern im Ausland liegen
  • Risiko Datenschutz und Datensicherheit
  • Checkliste zur IT-Haftpflicht
Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

3 Kommentare
Alex

Schon extrem, mit wie viel Know-How man an die Sache gehen muss. Man unterschätzt den Aufwand auf seiten Sistrix, Dropbox & Co. schon extrem…

Antworten
Thomas Weber
Thomas Weber

ich freue mich darüber, dass es auch einmal einen Artikel zum Thema Haftung und Absicherung gibt. Inhaltlich will ich nur hinzufügen, dass es – per se – keine ALL-Risk Deckung in Haftpflichtversicherung (casualty) gibt, um hier keine Begriffsverwirrungen zu stiften.

Ich/wir empfehlen den „IT-Leuten“ um den Einkaufspreis (= Versicherungsprämie) bei den Vermögensschäden erträglich zu machen, einen hohen SB von zumindest 50% des EGT zu wählen. Im Gegenzug sollte dann der Einkauf von hohen Versicherungssummen (wir empfehlen EUR 10 Mio. aufwärts) – über einen bis 2 Layer (sogenannte Exzedenten) machbar sein.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.